Implementan un implante cuyo nombre en código es LightlessCan
El Grupo Lazarus, ligado a Corea del Norte, ha sido vinculado a un ataque de ciberespionaje dirigido a una empresa aeroespacial no identificada en España en el que el actor de amenazas se acercó a los empleados de la empresa haciéndose pasar por un reclutador de Meta.
"Un falso reclutador se puso en contacto con los empleados de la empresa objetivo a través de LinkedIn y los engañó para que abrieran un archivo ejecutable malicioso que se presentaba como un desafío o cuestionario de codificación", dijo en un informe técnico el investigador de seguridad de ESET, Peter Kálnai.
El ataque es parte de una campaña de phishing de larga data llamada Operación Dream Job que está orquestada por el equipo de hackers en un intento de atraer a los empleados que trabajan en posibles objetivos que son de interés estratégico, atrayéndolos con lucrativas oportunidades laborales para activar la cadena de infección.
A principios de marzo, la empresa eslovaca de ciberseguridad detalló una ola de ataques dirigida a usuarios de Linux que implicaba el uso de falsas ofertas de trabajo de HSBC para lanzar una puerta trasera llamada SimplexTea.
El objetivo final de la última intrusión, diseñada para sistemas Windows, es la implementación de un implante cuyo nombre en código es LightlessCan.
"El aspecto más preocupante del ataque es el nuevo tipo de carga útil, LightlessCan, una herramienta compleja y posiblemente en evolución que exhibe un alto nivel de sofisticación en su diseño y operación, y representa un avance significativo en capacidades maliciosas en comparación con su predecesor, BLINDINGCAN", dijo Kálnai.
BLINDINGCAN, también conocido con el nombre AIRDRY o ZetaNile, es un malware rico en funciones capaz de recopilar información confidencial de hosts infiltrados.
Todo comenzó cuando el objetivo recibió un mensaje en LinkedIn de un falso reclutador que trabajaba para Meta Platforms, quien luego envió dos desafíos de codificación como parte del supuesto proceso de contratación y convenció a la víctima para que ejecutara los archivos de prueba (llamados Quiz1.iso y Quiz2.iso) alojados en una plataforma de almacenamiento en la nube de terceros.
ESET dijo que los archivos ISO, que contenían archivos binarios maliciosos Quiz1.exe y Quiz2.exe, fueron descargados y ejecutados en un dispositivo proporcionado por la empresa, lo que efectivamente resultó en el autocompromiso del sistema y la violación de la red corporativa.
El ataque allana el camino para un descargador HTTP(S) denominado NickelLoader, que permite a los atacantes implementar cualquier programa deseado en la memoria de la computadora de la víctima, incluido el troyano de acceso remoto (RAT) LightlessCan y una variante de BLINDINGCAN denominada miniBlindingCan (también conocido como AIRDRY.V2).
LightlessCan viene equipado con soporte para hasta 68 comandos distintos, aunque en su versión actual, sólo 43 de esos comandos se implementan con alguna funcionalidad. La principal responsabilidad de tminiBlindingCan es transmitir información del sistema y descargar archivos recuperados de un servidor remoto, entre otras.
Un rasgo digno de mención de la campaña es el uso de medidas de seguridad de ejecución para evitar que se descifren y se ejecuten las cargas útiles en cualquier otra máquina que no sea la de la víctima prevista.
"LightlessCan imita las funcionalidades de una amplia gama de comandos nativos de Windows, permitiendo una ejecución discreta dentro del propio RAT en lugar de ejecuciones ruidosas en la consola", dijo Kálnai. "Este cambio estratégico mejora el sigilo, haciendo que detectar y analizar las actividades del atacante sea más desafiante".
El Grupo Lazarus y otros grupos de amenazas originados en Corea del Norte han sido prolíficos en los últimos meses, organizando ataques que abarcaron sectores manufactureros y inmobiliarios en India, empresas de telecomunicaciones en Pakistán y Bulgaria, y contratistas gubernamentales, de investigación y de defensa en Europa, Japón y Estados Unidos, según Kaspersky.
